Angeblich ist TrueCrypt noch sicher, aber...

Chibi88 · 30. Dezember 2014

wer sagt uns, wie lange das so sein wird?

http://www.heise.de/newsticker/meld...schluesselung-durch-NSA-und-GCHQ-2507004.html

Auch die Krypto-Software Truecrypt sei als schier unüberwindbar eingestuft worden, bevor das Entwicklerteam die Arbeit daran überraschend aufgegeben habe.

Das Problem ist doch, dass sie Software nicht mehr aktualisiert wird. Es ist ja schön, dass TC angeblich sicher ist und in diesem Bereich führend ist, aber keiner kann uns sagen, wie lange das so sein wird. Falls die NSA es schafft, dass Programm in ~6 Monaten zu knacken, wird es doch keiner erfahren.

Wie seht ihr das? Ich sehe das zwiespaltig.

Grüße

Chibi

Infotainer · 30. Dezember 2014

Ich glaube nicht das sich irgendwer für meine Daten interessiert. Und solange keiner aus meinem Freundeskreis so einen Container knacken kann lehne ich mich ganz entspannt zurück.

Madman1209 · 30. Dezember 2014

Hi,

und jetzt? Natürlich besteht die Möglichkeit, mit genug Rechenpower oder neuen Angriffen eine Verschlüsselung zu knacken. Das ist weder neu noch überraschend und sollte jedem klar sein. Zumal es nicht darum geht "Truecrypt" zu knacken sondern wenn dann die Verschlüsselung selbst.

Genauso, wie die Entschlüssler Fortschritte machen muss eben auch die Verschlüsselung Fortschritte machen, ganz einfach. Wenn dem nicht so ist wird die Chiffre irgendwann eben obsolet.

VG,
Mad

Marius · 30. Dezember 2014

Nichts ist sicher, bzw. ohne Hintertür.
Wäre es sicher bzw. ohne Hintertür, wäre es nicht erlaubt.

RED-Bit · 30. Dezember 2014

die Entwicklung wurde eingestellt, das ist korrekt. Aber die Technologie hinter der Verschlüsselung kam ja nicht von den TC Entwicklern und die ist noch immer sicher und aktuell. Wenn du die 7.1a und nicht die aktuellere benutzt, sehe ich keinerlei Probleme. Außer "jemand" findet einen Weg AES und Co in wenigen Tagen/Wochen zu dechiffrieren, dann und erst dann ist es unsicher. Bis dahin mache ich mir keine Sorgen

Chibi88 · 30. Dezember 2014

Was mich in dem Zusammenhang ebenfalls interessiert ist, wie sicher die WDE Encryption mit dem verwendeten Hash ist.

RIPEMD-160 hat doch eine sehr kurze Schlüssellänge. Ist das nicht von Nachteil?

Marius · 30. Dezember 2014

@RED-Bit
Dann mach dir Sorgen.
Es dauert nämlich keine Tage und Wochen, sondern geschieht in Echtzeit.
Wäre dem nicht so. wäre das Verfahren verboten.

Das dem so ist, belegt die Tatsache, daß Dienste die sichere, Behördlich nicht genehmigte, Verfahren anboten/anbieten ihre Dienste schließen müssen/mussten.

supaman · 30. Dezember 2014

Die grössere Gefahr für deine Daten geht von TC selbst aus - guck mal hier im Forum in die Datenrettungsabteilung. Für Datentotalverlust gibt es Spitzenreiter bei den Ursachen: Hardwaredefekt (Platte kaputt) - Raid-0 /5/JBOD ohne Backup - und geschrottete TrueCrypt Container oder Patitionen.

Bei großen Containern mit vielen GBs reicht 1 defekter Datenblock, um den ganzen Container umbrauchbar zu machen.
Bei verschlüsselung der ganzen Partition hat TC grottige Recovery Optionen, das propritäre Partitionslayout macht es im ernstfall sehr anspruchsvoll da noch was zu retten.

Da gibts andere, nicht-amerikanische Produkte die das eleganter lösen.

Pintolus · 30. Dezember 2014

Marius schrieb:
Das dem so ist, belegt die Tatsache, daß Dienste die sichere, Behördlich nicht genehmigte, Verfahren anboten/anbieten ihre Dienste schließen müssen/mussten.

Wird deine Vermutung durch irgendeine Rechtsgrundlage hierzulande gestützt?

Marius · 30. Dezember 2014

Dazu bedarf es keiner besonderen Rechtsgrundlage.
Sie CIA/NSA/.... "Skandal"

Übrigends ist auch schon immer der gesamte Postverkehr Lückenlos überwacht/aufgezeichnet.
Die "Pakteverfolgung" ist nur ein nützlicher Nebeneffekt.

HominiLupus · 30. Dezember 2014

Pintolus schrieb:
Wird deine Vermutung durch irgendeine Rechtsgrundlage hierzulande gestützt?

Vergiss Rechtsgrundlage, er soll zeigen wo eine Festplattenverschlüsselungspogramm gestoppt werden musste weil keine Hintertür.
Marius hat wie immer keine Ahnung. Truecrypt könnte sogar das Erste sein, aber wir wissen es nicht.

Er denkt an Dinge wie den Lavabitskandal, und hat natürlich keine Ahnung um was es da ging.
Wenn die Verschlüsselung eine Hintertür gehabt hätte, hätte Lavabit ja gerade nicht schließen müssen.

Die Frage bei Truecrypt ist nicht ob es sicher ist oder nicht sonder: was für eine Alternative hast du? Unter Linux gibt es welche, LUKS z.B.
Unter Windows? Bitlocker? Das wäre ein guter Witz.
Es gibt einige Alternativen wie z.B. Diskcryptor aber das ist ein Truecrypt Fork. Truecrypt hat einen öffentlichen Audit hinter sich, als einzigstes Programm afaik. D.h. Truecrypt hat, zumindest einmal, "bewiesen" daß es sicher ist. Alle anderen Windowsprogramm: not so much.

ibm9001 · 30. Dezember 2014

@supaman

Da gibts andere, nicht-amerikanische Produkte die das eleganter lösen

Und die wären ?

ibm9001

_____________
Daddelmaschine: i5 2500K & EKL Brocken+NOCTUA NF-F12 // 16GB RAM // VTX3D HD 7970
___________
Arbeitsstation: Phenom II X6 1045T & Macho 120 / 16GB RAM / Sapphire 6950
___________
Internet-Kiste: Phenom II X6 1045T & Raijintek Pallas // 12 GB Ram // Sapphire 6670 low Profile

Chibi88 · 30. Dezember 2014

HominiLupus schrieb:
Die Frage bei Truecrypt ist nicht ob es sicher ist oder nicht sonder: was für eine Alternative hast du? Unter Linux gibt es welche, LUKS z.B.
Unter Windows? Bitlocker? Das wäre ein guter Witz.
Es gibt einige Alternativen wie z.B. Diskcryptor aber das ist ein Truecrypt Fork. Truecrypt hat einen öffentlichen Audit hinter sich, als einzigstes Programm afaik. D.h. Truecrypt hat, zumindest einmal, "bewiesen" daß es sicher ist. Alle anderen Windowsprogramm: not so much.

VeraCrypt?

Wie gesagt: Ich frage mich, wie sicher die Verschlüsselung der Windows-Partition ist, wenn da nur RIPEMD-160 zum Einsatz kommt um das Passwort zu hashen. VeraCrypt bietet da schon SHA / Whirpool an.

Marius · 30. Dezember 2014

Nein, natürlich habe ich keine Ahnung.
Da braucht man auch keine Ahnung haben.

Der Hausmeister hat einen Generalschlüssel für eh alles.
So funktioniert das System nunmal.

Wenn die Verschlüsselung eine Hintertür gehabt hätte, hätte Lavabit ja gerade nicht schließen müssen.

Richtig...
Der Umkehrschluss daraus ist.... ? BINGO! 100 Punkte!

Wer nach den letzten Jahren noch immer glaubt irgendwas sei gegenüber staatlichen Stellen/Hackerkonsortien sicher, der hat nicht genau aufgepasst.

Verschlüsselungen legaler Art werden von unserem Konzern als nicht sicher eingestuft.
Sensible Daten liegen daher Offline im Tresor und werden per Sicherheitsdienst transferiert.
Daten abgreifen ist so aus dem "Kämmerlein heraus" nicht möglich und es benötigt schon mal sehr viel mehr kriminelle Energie um an Pläne von Prototypen oder ähnlichem zu gelangen, wenn man dafür einen RL-Überfall benötigt.

Fertig.
Ende der Durchsage.

Denkt doch mal nach, wo wir da hin kämen, wenn es staatlich uneinsehbare Daten gäbe....

Madman1209 · 30. Dezember 2014

Hi,

widersprichst du dir nicht ein wenig, wenn du sagst

Der Hausmeister hat einen Generalschlüssel für eh alles. So funktioniert das System nunmal.

wenn du dann meinst

Sensible Daten liegen daher Offline im Tresor und werden per Sicherheitsdienst transferiert. Daten abgreifen ist so aus dem "Kämmerlein heraus" nicht möglich und es benötigt schon mal sehr viel mehr kriminelle Energie um an Pläne von Prototypen oder ähnlichem zu gelangen, wenn man dafür einen RL-Überfall benötigt.

Abgesehen davon:

Denkt doch mal nach, wo wir da hin kämen, wenn es staatlich uneinsehbare Daten gäbe....

Sicher reichen die Machtbefugnisse heutiger Systeme sehr weit - zaubern können sie aber nicht. AES ist - bis heute - noch nicht geknackt, jedenfalls gibt es keine Möglichkeit, die bekannt wäre. Da würden wohl eher erstmal Mathematiker drauf kommen und nicht Politiker, meinst du nicht?

Was durchaus möglich ist, ist das absichtlich verschiedene Dinge gemacht wurden, um AES zu schwächen, Stichwort Zufallszahlen. Aber es gibt eben auch Verschlüsselungen, die sich - mathematisch betrachtet - nicht knacken lassen (werden). Quantencomputer sind das eine, One Time Pad (die sogenannte Vernam Encryption) genauso.

VG,
Mad

Der-Orden-Xar · 30. Dezember 2014

Madman1209 schrieb:
Da würden wohl eher erstmal Mathematiker drauf kommen und nicht Politiker, meinst du nicht?

Danke, dass du es ansprichst.
Das was Marius behauptet möge doch mal jmd Mathematisch korrekt beweisen.
Denn wenn die NSA AES knacken kann, dann müssen die etwas kennen, das die Mathematiker, die ihre Forschungsergebnisse offenlegen noch lange nicht gefunden haben. Und seit wann hat die NSA die besten Mathematiker?

Nach CAESAR ( Cryptanalytic AES ARchitecture = Cryptanalysis of the Full AES Using GPU-Like Hardware) aus dem Jahr 2012 bräuchte ein spezieller Supercomputer, der den besten ´bekannten Angriff in der Theorie auch praktisch Umsetzen kann (2^99,5 für AES256) ca 1 Jahr und ~125% des Gesamtstromverbrauchs des Jahres 2005 der USA. Also: woher soll die NSA 4TW bekommen?

Entilzha · 31. Dezember 2014

Marius schrieb:
Bla Bla Bla...

Nichts außer heiße Luft! Schmeiß doch mal deine Suchmaschiene und Informaire dich!

Wieso musste der junge Mann in die Beugehaft? Beugehaft-gegen-Studenten-Britische-Justiz-will-Passwort Wäre es so leicht wie du uns weiß machen möchtest, dann säße er nicht in der Beugehaft, sonder vermutlich in der U-Haft wartend auf sein Prozess, weil sein PC untersucht worden wäre und man Beweise fände!

Bis jetzt sprich nichts für eine erfolgreiche knacken der gängigen Verschlüsselungsverfahren, der Fall Lavabit sag alles aus. Die NSA und andere Geheimdienste kochen auch nur mit Wasser, zaubern können sie nicht.

Das was du ansprichst, da werden Netze infiltriert und übernommen, da hilft auch keine Verschlüsselung da braucht es Kompetenz in Manpower Form. Beispiel und davon gibt es unzählige inzwischen!

Der "aktuelle" Spiegel Artikel ist ganz gut, sollte man gelesen haben.

@Chibi88 TrueCrypt ist sicher, wäre dem nicht so, hätte es schon längst eine Alternative gegeben.

mfg

Chibi88 · 31. Dezember 2014

Entilzha schrieb:
@Chibi88 TrueCrypt ist sicher, wäre dem nicht so, hätte es schon längst eine Alternative gegeben.

Die Frage ist nur, wie lange man so ein Programm weiter benutzen kann, wenn es keine Updates mehr gibt. Heutzutage wird die Hardware immer schneller und es ist mehr als 1,5 Jahre her seitdem TrueCrypt aktualisiert wurde.

Falls die NSA TrueCrypt in einem Jahr knacken würde, würde doch keiner darüber berichten, weil das Projekt ja sowieso eingestellt wurde. Keiner weiß, wie lange es noch nutzbar ist.

Wie sieht es mit VeraCrypt aus? Wurde heute erst wieder aktualisiert.

C4pTuReD · 31. Dezember 2014

Wenn das Verfahren gut genug ist, muss es nicht oft geupdated werden.

Ich weiß nicht, was heute bei Vera gepatched wurde, wenn es aber nur die UI o.ä. ist juckt das keinen.

Entilzha · 31. Dezember 2014

Chibi88 schrieb:
Falls die NSA TrueCrypt in einem Jahr knacken würde, würde doch keiner darüber berichten, weil das Projekt ja sowieso eingestellt wurde. Keiner weiß, wie lange es noch nutzbar ist.

TrueCrypt ist Open Source was willst du da knacken? Sie müssen das Verschlüsselungsalgorithmus z.b. AES knacken und wenn sie es geknackt haben und es Öffentlich wird, dann werden die Leute ein anderes Algorithmus verwenden welches vermutlich noch stärker ist und schon geht das Spiel von vorn (Hase, Igel Spiel).
Außerdem, wenn ein Programm (z.b. TrueCrypt) sehr hohe Qualität hat, ich weiß ist Seltenheit, jedoch es gibt diese, was soll man da noch patchen?

mfg

Angeblich ist TrueCrypt noch sicher, aber...

Lt. Commander

Lt. Commander

Fleet Admiral

Admiral

RED-Bit

Gast

Lt. Commander

Admiral

Lt. Commander

Lt. Junior Grade

Admiral

Banned

Lt. Junior Grade

Lt. Commander

Admiral

Fleet Admiral

Commander

Lt. Commander

Lt. Commander

Lt. Junior Grade

Lt. Commander

Ähnliche Themen